BSP:慢霧：被盜急救指南之鏈上留言_ABU

背景

據慢霧發布的《2023 上半年區塊鏈安全與反洗錢總結》 的數據，2023 上半年，遭受攻擊后仍能全部或部分收回損失資金的事件共有 10 起。這 10 起事件的被盜資金總計約 2.32 億美元，其中的 2.19 億美元被返還，占被盜資金的 94%。在這 10 起事件中，有 3 起事件的資金被全部退回。 

資金被盜后又被歸還或許將成為一個新趨勢。無論是給予賞金還是以合理談判的方式拿回被盜資金，主要有兩種傳遞消息的方式：一個是在項目方媒體平臺發聲，另一個則是攻擊者與項目方通過鏈上留言進行溝通。

例如 2023 年 3 月 13 日，DeFi 借貸協議 Euler Finance 遭到攻擊，攻擊者獲利約 1.97 億美金。3月20日，攻擊者在給 Euler 的鏈上消息  中聲稱，他們現在希望與 Euler “達成協議”。攻擊者寫道：“我們想讓所有受影響的人都輕松些，不打算保留不屬于我們的東西。建立安全通信，讓我們達成協議吧。” 

幾個小時后，Euler 在鏈上回復  稱：“消息已收到，讓我們通過 Euler Deployer 地址和你的一個 EOA 在 Blockscan 上私下討論，通過電子郵件 contact@euler.foundation 或你選擇的任何其他渠道。請回復你想選哪種方式。”

慢霧：Poly Network再次遭遇黑客攻擊，黑客已獲利價值超439萬美元的主流資產:金色財經報道，據慢霧區情報，Poly Network再次遭遇黑客攻擊。分析發現，主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析，ETH鏈第一筆手續費為Tornado Cash: 1 ETH，BSC鏈手續費來源為Kucoin和ChangeNOW，Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前，部分被盜Token （sUSD、RFuel、COOK等）被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產，剩余被盜資金被分散到多條鏈60多個地址中，暫未進一步轉移，全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

有趣的是，在 3 月 15 日，0x2af 用戶向黑客發送鏈上消息 ，請求希望能返回其畢生積蓄 78 枚 wstETH，該用戶表示，“請考慮退回 90% / 80%。我只是一個用戶，我畢生的積蓄只有存入 Euler 的 78 wstETH ，我不是巨鯨或百萬富翁。你無法想象我現在的處境有多糟，全毀了。我很確定 2000 萬美元已經夠你改變生活了，而且你能讓很多受影響的人重獲快樂”。隨后，黑客向其發送了 100 枚 ETH。緊接著有不少地址效仿該用戶的行為向黑客發送消息。

當然，也有在鏈上留言釣魚的情況。2023 年 3 月 22 日，Euler 黑客在攻擊完成后，為了混淆視聽逃避追查，轉了 100 ETH 給盜取了 6.25 億多美金的 Ronin 黑客。Ronin 黑客順水推舟，將計就計，隨即回禮了 2 枚 ETH，并給 Euler 黑客發了一條鏈上消息 ，要求其解密一條加密信息。但專家稱，該消息是一個網絡釣魚騙局，試圖竊取 Euler 攻擊者錢包的私鑰。是否真的如此？慢霧曾對此事寫過一篇分?析，有興趣可以查閱。在 Ronin 黑客錢包向 Euler 黑客錢包發送消息幾分鐘后，Euler Finance 的開發人員試圖用自己的消息  進行干預，他們警告 Euler 黑客警惕所謂的解密軟件，稱“最簡單的方法就是退還資金”。Euler 的開發人員在另一個交易  中繼續說道：“在任何情況下都不要試圖查看該消息。不要在任何地方輸入你的私鑰。提醒你，你的機器也可能被入侵。”

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取:12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。

2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]

眾所周知，無論是比特幣還是以太坊主網，實質上都是一個分布于全球的賬本系統。拿以太坊舉例，目前，有超過上萬個以太坊節點復制以太坊主網上的所有數據，這意味著以太坊主網上的任何消息、交易等信息都會被復制上萬次，這也確保了區塊鏈信息不可篡改。相對比特幣網絡來說，以太坊主網上的費用更“便宜”，因此大部分人都會把以太坊主網作為留言的第一選擇。正如剛剛所說，區塊鏈的本質是分布式賬本，我們進行轉賬交易的時候可以順便留言，這些留言都會被記錄在所有節點的賬本上，它們無法被修改，并將在區塊鏈上永久留下痕跡。

慢霧：警惕QANX代幣的雙花攻擊風險:據慢霧區消息，近期存在惡意用戶利用QANX代幣的轉賬鎖定、解鎖功能(transferLocked/unlock)觸發的事件記錄與正常使用transfer功能轉賬觸發的Transfer事件記錄相同而進行雙花攻擊。

慢霧安全團隊建議已上架此幣種的平臺及時自查，未上架的平臺在對接此類幣種時應注意以上風險。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

最先帶頭在區塊鏈上留言的是中本聰。2009 年 1 月 4 日，中本聰在創世區塊上留下了當天泰晤士報的頭條新聞標題，“EThe Times 03/Jan/2009 Chancellor on brink of second bailout for banks”，直到今天，我們仍能在鏈上找到這條留言。

（1）通過 https://app.mycrypto.com/send 轉賬留言

連接錢包，填上接收地址及轉賬金額（可以為 0 ETH），在 Data 中的 0x 后輸入你想要留言的內容，接著點擊下一步，最后 Confirm 就可以了。

注意：留言信息需要是十六進制數據，所以，可以提前通過一些轉換工具或網站進行轉換。如：

（2）通過手機錢包轉賬留言

慢霧：Titano Finance被黑因池子被設置成惡意PrizeStrategy合約造成后續利用:據慢霧區情報消息，2月14日，BSC鏈上的Titano Finance項目遭受攻擊，損失約190萬美元，最初獲利地址為0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑資金已被攻擊者轉移到其他23個錢包。該攻擊主要由于owner角色可以任意設置setPrizeStrategy函數，導致了池子被設置成惡意的PrizeStrategy合約造成后續利用。[2022/2/14 9:51:14]

你需要用帶有一些 ETH 的以太坊錢包（如 MetaMask、imToken 錢包）來完成交易，并支付 Gas fee。例如，打開 imToken 錢包，輸入一個轉賬地址進行轉賬交易，點擊高級模式，輸入十六進制格式的留言信息，請記得開頭帶上“0x”。

（3）通過 Etherscan IDM ?具 留言

使用該工具，不需要在 Input Data 輸入處理過的十六進制數據，可以直接輸入你想要留言的內容，它會自動為你處理成十六進制數據，結果顯示如下：

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

上面介紹了未加密留言，相應的也存在加密留言。我們先看一個例子：

(https://bscscan.com/tx/0xfa1fa7cdfa3c5fe2cfaf61e14caf4b5174302d3801b09bb650d3f90ec706c3e9)

地址 0x313 向被標記為 TransitFinance Funds Receiver 的地址發送了一條鏈上消息：“請使用您地址的私鑰來解密該消息”，并附上了一大段需要解密才能看到的信息。

加密的鏈上留言是如何實現的呢？

（1）加密

首先，通過 Etherscan 點擊交易哈希進行搜索：

接著，獲取交易哈希的原始交易十六進制數據：

然后，根據原始交易十六進制數據獲取公鑰：

下一步，輸入 SecretMessage 和 publicKey 并運行以下代碼：

最后，使用以上工具發送。

（2）解密

輸入 PrivateKey 和 encrypted 并運行以下代碼：

作為一家區塊鏈威脅情報安全公司，慢霧常常收到項目方或個人用戶的協助請求，這里舉一個例子。2022 年 10 月 2 日，跨鏈交易平臺聚合器 Transit Swap 遭到黑客攻擊，被盜資產超 2890 萬美元。在項目方的請求下，我們協助項目方與攻擊者進行談判。

以下是談判過程中的部分內容：

(https://bscscan.com/tx/0x7491671cfab5066d5a36299cf295e721611bae6ff61a847a32b11d1cf716c274)

根據官方在 2022 年 10 月 12 日的聲明，“白帽已返還價值 2400 萬美元的資金”。

本文主要介紹了鏈上留言的相關知識及使用方法。鏈上留言作為匿名溝通的方式之一，一方面，由于鏈上信息的不可篡改及透明性，這也相當于被動接受大眾的“審視”，或許能在一定程度上避免某一方事后反悔；另一方面，這也為受害者與攻擊者之間提供一個溝通的平臺，增加了隱私性，為受害者減少資金損失提供機會，但也要當心留言里是否附帶釣魚信息。

除了鏈上留言，用戶和項目方仍可以通過以下方式增加追回資金的可能性：

立即通知相關機構：向當地執法機構、金融監管機構和相關的區塊鏈項目團隊報案和申訴。提供詳細的信息和證據，并配合相關機構的調查；

聯系交易平臺：如果資金被盜是在某個交易平臺上發生的，立即與其聯系，并提供有關事件的詳細信息。交易平臺可能會采取措施調查并協助解決問題；

與社區合作：將事件公之于眾，并與相關社區成員合作，共享信息和經驗。其他用戶可能提供有關攻擊者或攻擊技術的有用信息；

尋求專業幫助：咨詢專業的區塊鏈安全公司或律師，尋求法律和技術方面的專業幫助。他們可以提供相關建議和指導，幫助盡可能追回資金或采取其他合適的法律措施。也可以通過提交表單  聯系慢霧 AML 團隊。

當然，最重要的是采取預防措施，降低資金被盜的風險，包括使用安全可靠的錢包和交易平臺；保護好私鑰和訪問憑證；避免點擊可疑鏈接和下載未知來源的軟件；以及保持安全意識和知識更新。最后，非常建議閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。

參考鏈接：

 https://www.slowmist.com/report/first-half-of-the-2023-report(CN).pdf

 https://etherscan.io/tx/0xcc73d182db1f36dbadf14205de7d543cfd1343396b50d34c768529aaab46a1c0

 https://etherscan.io/tx/0x9c25b6ca65c5bd0597a13ceae6f0d6edcef4b10279f338114550926ad0387ce4

 https://etherscan.io/tx/0xbe21a9719a4f89f7dc98419f60b247d69780b569cd8869c0031aae000f98cf17

 https://etherscan.io/tx/0xcf0b3487dc443f1ef92b4fe27ff7f89e07588cdc0e2b37d50adb8158c697cea6

 https://etherscan.io/tx/0x054409f252ac293a0ed34108b25e5906476817c5489bd3e98a5d3e1ee0825020

 https://etherscan.io/tx/0x1fd6d2e67a2ac4cf7c1718cc3058d5625171b95d66744801c97a4de54a41197b

 https://etherscan.io/idm

 https://aml.slowmist.com/recovery-funds.html

 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md

https://cryptobook.nakov.com/asymmetric-key-ciphers/ecies-example

慢霧科技

個人專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：BSPNBSETHABUBSPAY幣nbs幣前景YEARN ETHEREUM YIELDShiba Shabu

比特幣行情